Да, этот тип сегментации логических сервисов выполняется в промышленных и сверхзащищенных сетях, хотя редко в небольших масштабах, таких как сеть SOHO. Сети VLAN сами по себе не являются барьером безопасности. Крупномасштабные сети должны разбивать свой широковещательный домен на гораздо более мелкие сегменты в целях повышения эффективности, но для этого вам приходилось вносить такие изменения в аппаратное обеспечение, которые часто стоят дороже. Сети VLAN представляют собой попытку разрешить создание гибких широковещательных доменов в программном обеспечении / встроенном программном обеспечении, а не только через проводное соединение.
Вы получаете некоторые преимущества, связанные с безопасностью, за счет разделения управляющего vlan.
- Он не подвержен атакам 2-го уровня, происходящим на других виртуальных сетях (хотя эксплойты с поведением коммутатора, такие как ARP-поток, вероятно, будут уязвимы для всех виртуальных сетей, если только производитель не имеет мер по снижению помех).
- Вы можете настроить межсетевой экран VLAN таким образом, чтобы только локальные станции могли получить доступ к службам управления и получить контроль от самого маршрутизатора, в дополнение к межсетевым экранам сервера.
- Управляющий VLAN будет пропускать намного меньше трафика и будет хорошим местом для развертывания IDPS или других инструментов мониторинга без неуклюжего зеркалирования портов.
Однако существует значительная стоимость, как в отношении оборудования, так и времени управления.
- Всем вашим серверам потребуется несколько сетевых и кабельных систем (или действительно высокопроизводительных сетевых устройств с функциями VLAN), поэтому вы можете связать клиентские службы с одной, а службы управления - с другой.
- Вам нужен довольно сильный маршрутизатор, чтобы не замечать какой-либо вредной задержки в ваших сервисах.
- Ваше администрирование DNS и IP становится в 4 раза более активным, и потребуется некоторое администрирование брандмауэра и управление маршрутизацией.
- Некоторые сервисы требуют, чтобы специальная конфигурация была видна всем хостам, и материал avahi/zeroconf может работать не совсем корректно.
В вашей гипотетической сети подключение каждого хоста к локальной сети должно быть перенаправлено в сервисную сеть и обратно. в то время как аппаратное обеспечение маршрутизаторов переключено, маршрутизация является гораздо более сложным процессом, чем простая коммутация уровня 2, и частично основана на программном обеспечении. Наличие маршрутизатора в центре функциональности основной локальной сети может быть разрушительным с точки зрения производительности, поддержки протоколов и видимости услуг, поэтому дешевый маршрутизатор SOHO, вероятно, не является хорошим выбором для этой роли.
Итак, в целом, да, крупные предприятия и ультрабезопасные системы, такие как банковские или SCADA-сети, сегментируют свои услуги / операции от своего управления, и это дает некоторые преимущества. Затраты, однако, могут перевесить преимущества при небольшом развертывании. Все зависит от того, сколько времени и денег вы хотите потратить.
